支付寶安全漏洞 通過(guò)“購(gòu)物記錄、認(rèn)識(shí)的人”找回密碼

今天上午，支付寶再次被曝出安全漏洞：陌生人有1/5的機(jī)會(huì)登錄你的支付寶，而熟人100%可以登錄你的支付寶，甚至可以不用原密碼直接用手機(jī)號(hào)就可以更改。

對(duì)此，支付寶官方剛剛給出回應(yīng)：這一方式僅在特定情況下才會(huì)實(shí)現(xiàn)。且一旦用戶支付寶在其他設(shè)備被登錄，本人設(shè)備會(huì)收到通知提醒。

此外，支付寶表示，在今天上午接到網(wǎng)友反映后，我們也進(jìn)一步提高了風(fēng)控系統(tǒng)的安全等級(jí)。目前僅在用戶自己的手機(jī)上，才能通過(guò)識(shí)別近期購(gòu)買商品以及識(shí)別本人好友來(lái)找回登錄密碼，通過(guò)其他手機(jī)設(shè)備是無(wú)法應(yīng)用這一方式找回登錄密碼的。

對(duì)于這次的漏洞，移動(dòng)安全專家是怎么看的呢？

獵豹移動(dòng)安全工程師@李鐵軍 親自測(cè)試并嘗試還原支付寶熟人改密碼漏洞，他表示，這次安全問(wèn)題的關(guān)鍵是“常用設(shè)備的驗(yàn)證”被意外繞過(guò)了，至少系統(tǒng)應(yīng)該知道本次登錄是“常用設(shè)備”、“新設(shè)備”、還是“偶爾登錄的設(shè)備”。每一種登錄情形，用不同的驗(yàn)證方式。

此外他還透露：“我的支付寶里好友只有LP一個(gè)，不會(huì)添加任何人為支付寶好友，也絕不會(huì)拿支付寶做社交工具。余額永遠(yuǎn)為0，余額寶一年的收益好象不到5塊錢。支付寶對(duì)我來(lái)說(shuō)就是個(gè)交易通道，從不擔(dān)心被盜怎么辦。”

李鐵軍強(qiáng)調(diào)，如果與支付相關(guān)的應(yīng)用可以在任意設(shè)備重置而不要求提供充分信息的情況下，安全風(fēng)險(xiǎn)就存在。

所以，一切便捷支付跟安全風(fēng)險(xiǎn)是相伴的。支付有風(fēng)險(xiǎn)，還需小心謹(jǐn)慎。